ISO/IEC 27701:2019: Управление конфиденциальной информацией

  • Статья

Обзор ISO/IEC 27701:2019

ISO/IEC 27701:2019 дополняет широко используемые стандарты ISO/IEC 27001 и ISO/IEC 27002 для управления информационной безопасностью. Он определяет требования и предоставляет рекомендации для системы управления конфиденциальностью (PIMS), что делает реализацию PIMS полезным дополнением к соответствию для многих организаций, которые используют ISO/IEC 27001, а также создает надежную интеграцию для согласования элементов управления безопасностью и конфиденциальностью. ISO/IEC 27701 обеспечивает эту интеграцию с помощью платформы для управления персональными данными, которые могут использоваться как контролерами данных, так и обработчиками данных, что является ключевым отличием в соответствии с Общим регламентом по защите данных (GDPR).

Кроме того, любой аудит ISO/IEC 27701 требует, чтобы организация объявляла применимые законы и правила в своих критериях аудита, что означает, что стандарт может быть сопоставлен со многими требованиями в соответствии с GDPR, Законом о конфиденциальности потребителей Калифорнии (CCPA) или другими законами. После сопоставления операционные элементы управления ISO/IEC 27701 реализуются специалистами по вопросам конфиденциальности. Внутренняя или внешняя третья сторона, которая имеет аккредитацию для оценки, затем оценивает соответствие организации требованиям стандарта и выдает сертификат на этот счет. Эта универсальная платформа позволяет организациям эффективно реализовывать соответствие новым нормативным требованиям. Корпорация Майкрософт спонсирует проект по сопоставлению защиты данных с открытым кодом, чтобы получить общее представление о связи между ISO/IEC 27701 и различными правилами защиты данных.

Затрагиваемые облачные платформы и службы Майкрософт

Microsoft веб-службы в область отображаются в сертификате Azure ISO/IEC 27701:

  • Azure (подробные сведения см. в предложении Azure ISO/IEC 27701)
  • Dynamics 365 (подробные сведения см. в предложении Azure ISO/IEC 27701)
  • Microsoft Defender XDR (не в область для Azure для государственных организаций)
  • Microsoft Bing для электронной коммерции (не в область для Azure для государственных организаций)
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender для конечной точки
  • Microsoft Graph
  • Microsoft Intune
  • Компьютеры, управляемые Майкрософт (не входит в область Azure для государственных организаций)
  • Microsoft Stream
  • Эксперты Майкрософт по угрозам (не входит в область Azure для государственных организаций)
  • Office 365, Office 365 для государственных организаций США и Office 365 U.S. Government Defense
  • Power Apps
  • Power Automate
  • Power BI
  • Power BI Embedded
  • Power Virtual Agents (не входит в область Azure для государственных организаций)
  • Универсальная печать (не в область для Azure для государственных организаций)
  • Windows 365

Azure, Dynamics 365 и ISO 27701

Дополнительные сведения об Azure, Dynamics 365 и других веб-службы соответствия см. в статье Предложение Azure ISO 27701:2019.

Office 365 и ISO 27001

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Коммерческий сектор Access Online, идентификатор Microsoft Entra, Служба коммуникаций Azure, диспетчер соответствия требованиям, защищенное хранилище клиента, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка Office 365 Advanced Compliance, Office 365 клиентский портал, Office 365 микрослужбы (включая, помимо прочего, Kaizala, ObjectStore, Sway, Служба документов PowerPoint Online, служба заметок запросов, синхронизация данных в школе, Siphon, речь, StaffHub, eXtensible Application Program), Office 365 Центр соответствия требованиям безопасности &, Office Online, Office Pro Plus, инфраструктура служб Office, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, Project Online, Шифрование служб с помощью ключа клиента Microsoft Purview, SharePoint Online, Skype для бизнеса, Stream
GCC идентификатор Microsoft Entra, Служба коммуникаций Azure, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics Office 365 Advanced Compliance надстройка, Центр соответствия требованиям & безопасности Office 365, Office Online, Office Pro Plus, OneDrive для бизнеса, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, Stream
GCC High идентификатор Microsoft Entra, Служба коммуникаций Azure, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, надстройка Office 365 Advanced Compliance, Office 365 Центр соответствия требованиям безопасности &, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса
DoD идентификатор Microsoft Entra, Служба коммуникаций Azure, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, надстройка Office 365 Advanced Compliance, Office 365 Центр соответствия требованиям & безопасности, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, Power BI, SharePoint Online, Skype для бизнеса

Аудит, отчеты и сертификаты Office 365

Службы облачной и коммерческой технической поддержки Майкрософт проверяются один раз в год для процесса сертификации iso/IEC 27701.

Вопросы и ответы

Как ISO/IEC 27701 помогает в развитии нормативных требований?

Стандарт ISO/IEC 27701 включает приложение, в котором средства операционного управления этого стандарта сопоставляются с соответствующими требованиями GDPR в отношении контролеров и обработчиков данных. Это сопоставление является лишь примером того, как можно реализовать правила конфиденциальности относительно платформы ISO. По мере появления и проверки сопоставлений с другими регламентами можно будет переводить средства операционного управления этого стандарта с этапа проверки непосредственно на этап внедрения. Эта универсальная платформа позволяет организациям надежно выполнять соответствующие нормативные требования.

Как ISO/IEC 27701 помогает с затратами на аудит?

В различных юрисдикциях начинает действовать все больше нормативов и регламентов, связанных с конфиденциальностью. При этом подтверждение выполнения всех действующих регламентов также становится дороже. Если же проводить отдельный аудит для каждого регламента и норматива, то совокупная стоимость сертификации соответствия нормативам становится недопустимо высокой. Составляя набор универсальных операционных элементов управления, ISO/IEC 27701 также описывает универсальную структуру соответствия для аудита и потенциальной сертификации для нескольких нормативных требований.

Важно признать, что создание официальной сертификации GDPR требует утверждения европейскими регуляторами. Хотя согласованность между ISO/IEC 27701 и GDPR очевидна, сертификация ISO/IEC 27701 не должна приниматься в качестве доказательства соответствия GDPR или официальной сертификации GDPR до тех пор, пока не будут приняты нормативные решения.

Как ISO/IEC 27701 помогает с коммерческими соглашениями, связанными с персональными данными?

Коммерческие соглашения, связанные с перемещением персональных данных, могут служить основанием для сертификации соответствия требованиям. Современные организации участвуют в сложных процессах передачи данных вместе с обширной сетью партнеров по бизнесу, включая партнерские организации, которые в терминах регламента GDPR одновременно являются контролерами данных; обработчиков данных, таких как поставщики облачных услуг; субобработчиков, например, поставщиков, поддерживающих работу обработчиков. Несоблюдение нормативов в любом сегменте этой сети может привести к лавинообразному распространению проблем соответствия требований во всей цепочке поставок. Именно поэтому подтверждение соответствия требованиям на основании стандарта выгоднее обязательств, установленных условиями договоров между этими организациями. Поскольку глобальная экономика диктует, что большинство из этих организаций распространены по всему миру, целесообразно использовать международный стандарт ISO для управления соответствием по всей сети.

Поскольку соответствие требованиям приобретает высокую важность, важно, чтобы процедура сертификации была стандартной. Не всем компаниям и организациям необходимо проходить такую сертификацию, но в большинстве случаев целесообразно сотрудничать с партнерами и поставщиками, прошедшими эту сертификацию, особенно если работа связана с обработкой конфиденциальной информации или больших объемов данных.

Как ISO/IEC 27701 связан с ISO/IEC 27001?

ISO/IEC 27701 основан на ISO/IEC 27001, одном из наиболее широко принятых международных стандартов по управлению информационной безопасностью. Если ваша организация уже знакома с ISO/IEC 27001, логично и эффективнее интегрировать новые средства управления конфиденциальностью, предоставляемые ISO/IEC 27701. Такой подход означает, что реализация и аудит обоих объектов будут менее затратными и более простыми в реализации. Ключевые моменты ISO/IEC 27701 и ISO/IEC 27001:

  • ISO/IEC 27001 — один из самых распространенных в мире стандартов ISO, множество компаний сертифицированы по этому стандарту.
  • ISO/IEC 27701 включает новые элементы управления, зависящие от контроллера и процессора, которые помогают устранить разрыв между конфиденциальностью и безопасностью. Он обеспечивает точку интеграции между двумя отдельными функциями в организациях.
  • Конфиденциальность зависит от безопасности. Аналогичным образом iso/IEC 27701 зависит от ISO/IEC 27001 для управления безопасностью. Сертификация по ISO/IEC 27701 должна быть получена как расширение сертификации ISO/IEC 27001 и не может быть получена независимо.

Что ваша организация должна делать с ISO/IEC 27701?

Независимо от размера вашей организации и от того, является ли она контроллером или процессором, ваша организация должна рассмотреть возможность проведения сертификации либо для вашей организации, либо запрашивать ее у поставщиков или поставщиков на основе ваших бизнес-требований. Эта ситуация особенно относится к обработчикам, субобработчикам и сообработчикам, обрабатывающим конфиденциальные или большие объемы персональных данных. Ваша организация должна оценить свои бизнес-потребности, чтобы определить, подходит ли сертификация для ее собственных продуктов и услуг.

Использование Microsoft Purview Compliance Manager для оценки риска

Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы